近年、ランサムウェアなどのサイバー攻撃による被害のニュースが増えていますが、「対象は情報システムだけで、工場などの生産設備は、外部のネットワークに接続していないから大丈夫だろう。」といった考え方は過去のものになってきています。
昨年は、大手自動車メーカーがランサムウェア被害によって、工場の操業を一時停止せざるを得ない状況になっており、米国においても、石油パイプラインが約一週間にわたり停止する事態になりました。このように、サイバー攻撃が工場や重要インフラの稼働に影響を与えるようになっており、制御システムのセキュリティ対策の重要性が高まってきています。
本記事では、「制御システム」とは何か?どのような脅威があって、どのように対策を進めたらよいか?について解説します。
制御システムって?
制御システムとは、他の機械やシステムを管理してコントロールするためのシステムで、電力・ガス・石油などのエネルギー分野、鉄道・航空などの交通インフラ、機器や食品などの生産ライン、ビルの環境管理などで幅広い分野で使用されています。
幅広い分野で使用されている制御システム
かつての制御システムは、ベンダー各社の独自OSや通信プロトコルが使われており、情報システムとは切り離されてクローズなネットワークで運用されていたため、セキュリティ対策への考慮がほとんどされていませんでした。しかし、WindowsやLinuxといった汎用OSの普及によって、外部のネットワークやシステムと接続されるようになっています。
制御システムと情報システムとの主な違いとしては、以下が挙げられます。
また、制御システムの構成イメージとしては、以下となります。
IPA制御システム利用者のための脆弱性対策ガイドから引用
https://www.ipa.go.jp/files/000044733.pdf
制御ネットワークには、機器の組み立て製造などを自動化したり、電気・ガス・食品などの温度・圧力・流量などを自動化したりするために、PLCと呼ばれるコントローラがあります。そして、コントロールされる機器として、フィールドネットワークには、産業用ロボットやアクチュエータ、バルブ、各種センサなどが構成されます。
また、制御情報ネットワークには、システム監視やプロセス制御を行うシステムであるSCADA、制御ロジックの変更などを行う設定ツール機能を搭載したEWS、人間と機械間で情報のやりとりを行うHMIなどで構成されます。
制御システムのセキュリティ脅威とは?
従来、クローズな環境で運用されていた制御システムですが、近年では、生産性の向上や効率化の動きが活発となっており、IoTやAI、クラウドの活用などによる工場のDX化が進んでいます。
これによって、情報システムとの連携が加速しており、制御システムへのサイバー攻撃が非常にしやすい状況となっており、制御システムを狙う機能を持つランサムウェアEkans(別名Snake)も登場しています。
なお、制御システムにおける危険度の高い10種類の脅威とその対策をまとめた「産業用制御システムのセキュリティ -10大脅威と対策 2022-」が、IPAより公開されています。
[ドイツBSI] 産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2022-から引用
https://www.ipa.go.jp/security/controlsystem/bsi2022.html
制御システムのセキュリティ対策のポイント
では、どのように制御システムのセキュリティ対策を進めればよいでしょうか?
制御システムを使用している全てを対象とはせず、まずは、事業を継続するためにリスクの高い箇所を特定して、対策すべき優先順位を決め、対策方法を検討しましょう。
制御システムの特性を踏まえて、特に重要となる対策のポイントとしては、以下が挙げられます。
・経営者や関係部門との連携
検討を進めるにあたっては、前述のとおり、制御システムは情報システムと特性が異なるため、現場の制御システムの運用管理を行っている生産部門や技術部門と、情報システムのセキュリティ部門が連携して、推進することが重要となります。また、セキュリティはコストとみられることが多いため、自社の対策状況やリスクを整理して、経営層に必要性を説いて取り組む必要があります。
・守るべき資産の洗い出し
守るべき対象が明確になっていないと、必要なセキュリティ対策が打てず、無駄なコストが発生する可能があります。事業を継続にあたって、重要となる業務や資産を明確にすることが重要です。制御システムにおいては、資産管理ツールの導入が困難のため、資産が把握できていないケースが多いです。また、昨今のサイバー攻撃の動向を受けて、どのような脅威が想定されるか整理する必要があります。
・セキュリティ管理体制の構築
守るべき制御システムの範囲や資産を明確になったら、誰がどのような責任をもって取り組むかといったセキュリティ管理の推進体制を整備します。また、USB利用時のルールや、リモート保守を行う際のルールなどをポリシーとして定めて、教育を行うことが重要となります。
・インシデントへの対応手順の整備
制御システムの場合、機器に影響が生じる可能性があるセキュリティ対策ソフトが導入されていないケースが多く、故障なのか、サイバー攻撃なのかの切り分けが困難となります。そのため、現場部門で異常を察知したら、関係部門にエスカレーションして、迅速にインシデントに対処するための体制を構築しておく必要があります。また、日頃からバックアップを保存しておき、万が一の場合には、バックアップから復旧できるようにしておくことが重要となります。
リスクの特定や分析をするにあたって、活用できるガイド類を参考までに紹介します。
【参考となるガイド類】
・工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(経済産業省)
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
工場のセキュリティ対策を企画・実行するための考え方やステップ、脅威に対する技術的な対策や運用面の対策を示しています。付録として合計35問で構成されているチェックリストがあり、比較的簡単に状況を把握できます。
工場のセキュリティ対策を企画・実行するための考え方やステップ、脅威に対する技術的な対策や運用面の対策を示しています。付録として合計35問で構成されているチェックリストがあり、比較的簡単に状況を把握できます。
・制御システムのセキュリティリスク分析ガイド(IPA)
https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
リスク分析の具体的な手法や手順がわからないといった事業者向けに、資産ベースのリスク分析のやり方や、事業被害ベースのリスク分析のやり方がまとまっており、リスク分析に役立てることができます。
リスク分析の具体的な手法や手順がわからないといった事業者向けに、資産ベースのリスク分析のやり方や、事業被害ベースのリスク分析のやり方がまとまっており、リスク分析に役立てることができます。
昨今のサイバー攻撃の状況を受けて、取引先に一定のセキュリティ対策を要求する企業が増えており、制御システムを保有する企業や制御システムベンダーに対して、今後もますますセキュリティ強化が求められるようになっています。
これから制御システムのセキュリティ対策に取り組まれる場合は、本記事を参考に、まずは自社の制御システムの保有状況やセキュリティ対策状況の把握から始めてみてはいかがでしょうか。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
IoTのセキュリティについて学びたい方向けに、サイバーセキュリティアカデミー(サイアカ)では、基礎及び実践的な知識を提供する以下のコースを提供しております。
IoTセキュリティ基礎~リスク分析と対策~コースの詳細はこちらから